Dans cette deuxième formation pfsense, nous allons découvrir des fonctionnalités plus avancéesde pfSense, notamment les VPNs, avec un exemple de mise en place de VPNs via IPSEC (Exemple avec du Site-To-Site) et via OpenVPNs (Exemple avec du Point-To-Site). Nous allons aussi pouvoir découvrir comment mettre en place des plans de haute disponibilité et redondance sans oublier la partie Bridging et Routing, spécialement la mise en place de Multi-Wan grâce à ofsense.Nous verrons ensuite comment compléter pfsense avec des packages complémentaires tels que des IDS/IPS (SNORT et Suricata), des Proxy (Squid/Squid Guard) ou encore la mise en place de filtrage Anti-Virus, ainsi que d’autres packages à découvrir sur la formation nous permettant de transformer notre pfsense en un vrai UTM. La dernière partie de la formation quant à elle se focalise sur la partie monitoring et Journalisation, procédure de troubleshooting et enfin les tests de sécurité sur les firewalls.

1. Formation
pfSense
Le firewall open source de référence
Une formation
Hamza KONDAH

2. Une formation
Introduction
Firewall OpenSource de référence
OpenBSD packet Filter (PF)
2001
Première version : 2006
webGUI
Fonctionnalités de plus en plus riches

3. Une formation
Pourquoi pfSense ?
Open Source Stable Multifonctions
Performant Modulable Plugins
Peut être
configuré
comme UTM

4. Une formation
Scénarios de déploiement

5. Une formation
Plan de la formation
Introduction
Les VPNs
Redondance et haute disponibilité
Configuration du CARP
Routing et Bridging

6. Une formation
Plan de la formation (suite)
Packages complémentaires
Troublshooting et test de sécurité
Benchmarking
Conclusion et perspectives

7. Une formation
Public concerné
Plateforme Intune dans le cloudAdministrateur réseau
Technicien Réseau
Responsable sécurité
Ingénieur réseaux / sécurité
Intégrateur
Et tout le monde 

8. Une formation
Objectifs de la formation
Installation, configuration et
administration
Déploiement dans plusieurs scénarios
Test de sécurité
Firewalking
Capacity planning
PfSense comme UTM 

9. Une formation
Prérequis
Notions de bases en réseaux
informatiques
Éventuellement une première
expérience dans le firewalling

10. Une formation
Prérequis

12. Introduction aux VPNs
Une formation
Hamza KONDAH

13. Une formation
Introduction
Types de VPNs
IPSEC
L2TP
OpenVPN
Comparaisons
Plan

14. Une formation
Introduction
Données chiffrées ( Tunnel VPN)
Client VPN
Serveur d’accès distant
Internet

15. Une formation
VPN Point-To-Site

16. Une formation
VPN Site-To-Site

17. Une formation
IPSEC
Une connexion VPN est composée de deux
tunnels :
1. Un tunnel IKE pour l’échange des
paramètres de sécurité entre entités
2. Un tunnel IPSec qui sert au transfert de
données entre entités

18. Une formation
IPSEC
Négociation des paramètres de sécurité
Etablissement des clés pour l’authentification
Chiffrement, validation et authentification des
données
Validation et authentification des données
ESP
AH
IKE
Plande
contrôle
IKE
Plandedonnées
IPsec

19. IPSEC : SA
IPsec SA
IKESA
Une formation
Accord sur les paramètres de sécurité entre deux
entités
Il est nécessaire que les deux entités soient d’accord
sur les réglages de sécurité
L’ensemble de ces réglages est appelé Security
Association (SA)

20. Une formation
IPSEC
IKE automatise le processus d’échange de
clés entre entités pour la mise en œuvre d’un
tunnel lPsec
Négociation des paramètres de sécurité au
travers d’une SA (Security Association)
Génération automatique des clés

21. Une formation
IPSEC
BOB ALICE
Echange des paramètres de
sécurité (SA)
Couche application
+ transport
IPSec (AH - ESP )
Couche application
+ transport
IPSec (AH - ESP )
Echange des paquets cryptés
Internet
SA SA
IKE

22. Une formation
IPSEC
Mode
Transport
Mode
Tunnel

23. Une formation
L2TP
Le protocole Layer 2 Tunneling (L2TP)
Protocole de tunneling utilisé pour les (VPN)
Il n’a pas de cryptage ou de confidentialité
Il s’appuie sur un protocole de cryptage
(comme IPSec) qui passe dans le tunnel
pour assurer la confidentialité

24. Une formation
OpenVPN
Une application informatique ouverte pour
la mise en place de techniques des réseaux
privés virtuels
Connexions sécurisées point-par-point ou
site-par-site
Il exploite un protocole de sécurité sur
mesure qui utilise SSL/TLS pour les
échanges des clés

25. Une formation
OpenVPN
Un protocole Open VPN permet à des
homologues de s’authentifier mutuellement
en utilisant une clé secrète pré-partagée,
des certificats ou un nom d’utilisateur / mot
de passe

26. Une formation
Comparaison
YES YES
NO ( no encryption
at all )
OpenVPN Linux
Windows ,Linux
macOS X
YES YES YES
Support multi-
WAN
Firewall friendliness
Cryptographically
secure
Windows , macOS X
Client inclued in OS
Windows, Linux
macOS X
YES Only with NAT-T YES
Windows, Linux
Protocol
IPSec
L2TP
Client inclued in OS
Client available for
OS

27. Merci

28. Configuration d’IPSEC
Une formation
Hamza KONDAH

29. Une formation
Architecture du Lab

30. Une formation
Lab : VPN IPSEC

31. Merci

32. Configuration de l’OPENVPN
Une formation
Hamza KONDAH

33. Une formation
Architecture du Lab

34. Une formation
Lab : OPENVPN

35. Merci

36. Introduction à la Redondance
et haute disponibilité
Une formation
Hamza KONDAH

37. Une formation
Définition
Load Balancing
Algorithmes LB
La redondance
Plan

38. Une formation
Définitions
Redondance Haute disponibilité

39. Une formation
Load Balancing
Gateway load
balancing
Server load balancing
Software Hardware
Et peut être :

40. Une formation
Algorithmes LB
Random Round robin
Weighted
round robin
Least
Connection
Least Traffic Least latency
Ip hash Url hash SDN adaptive

41. Une formation
La redondance

42. Merci

43. Configuration Load Balancing
Une formation
Hamza KONDAH

44. Une formation
Lab : Configuration LB

45. Merci

46. Configuration du Failover
Une formation
Hamza KONDAH

47. Une formation
Introduction
Pfsync
Lab : Configuration du Failover
Plan

48. Une formation
Introduction
Protocole CARP
Common Address Redundancy
Protocol
Mise en place du FailOver
Groupe de plusieurs hôtes
Partage de l’@IP
Alternative sécurisé

49. Une formation
Pfsync
Pfsync
Protocole de synchronisation
Gestion de plusieurs hôtes via une
seule interface
Interface dédiée

50. Une formation
Lab : pfSense & Failover

51. Merci

52. Introduction
Une formation
Hamza KONDAH

53. Une formation
Le Routing
Le Bridging
Plan

54. Une formation
Le Routing
Une des principales fonctions d'un pare-feu
Routage paraît transparent
Peu de configurations supplémentaires
Grande facilité

55. Une formation
Le Routing
Important : Si vous avez un routeur
connecté à l'un des réseaux internes
de pfSense, pfSense ne saura pas
comment acheminer le trafic vers les
nœuds connectés au routeur, à moins
que vous ne définissiez un itinéraire
statique pour celui-ci.

56. Une formation
Le Bridging
N'est pas quelque chose qui est fait
dans les configurations des réseaux
typiques
Normalement, chaque interface a son
propre domaine de diffusion

57. Une formation
Le Bridging
Cependant, il est souvent utile ou
nécessaire de combiner (ou de mettre
en pont) deux interfaces afin qu'elles
soient dans le même domaine de
diffusion, de la même manière
qu'elles le seraient si elles étaient sur
le même commutateur

58. Une formation
Le Bridging
« La différence entre deux interfaces
pontées et un commutateur est qu'avec
les interfaces pontées, les règles de
pare-feu s'appliquent toujours »

59. Merci

60. Bridging avec pfSense
Une formation
Hamza KONDAH

61. Une formation
Introduction
Protocole STP
Protocole RSTP
Lab : Bridging
Plan

62. Une formation
Introduction

63. Une formation
Protocole STP

64. Une formation

65. Une formation

66. Une formation

67. Une formation
Protocole STP

68. Une formation
Protocole RSTP

69. Une formation
Designated-port

70. Une formation
Etat des connexions
Point-to-point (P2P)
Cette connexion est une connexion
en FULL-DUPLEX, RSPT estime que
cette liaison est une liaison point à
point

71. Une formation
Etat des connexions
Shared
Cette connexion est une connexion HALF-
DUPLEX, elle est partagée (Shared) entre
plusieurs équipements via un Hub
Edge
Cette connexion est une connexion entre un
Switch et un Client

72. Une formation
Lab : Bridging

73. Merci

74. Routage avec pfSense
Une formation
Hamza KONDAH

75. Une formation
Le routage statique
Le routage dynamique
Lab : Routage avec pfSense
Plan

76. Une formation
Le routage statique

77. Une formation
Routage dynamique

78. Une formation
Routage dynamique

79. Une formation
Lab : Routage avec PfSense

80. Merci

81. Multi WAN
Une formation
Hamza KONDAH

82. Une formation
Introduction
Procédure
Lab : Multi Wan
Plan

83. Une formation
Introduction

84. Une formation
Procédure
Ajout et
configuration
d'interfaces WAN
supplémentaires.
Configuration de
serveurs DNS
pour chacune des
nouvelles
interfaces WAN.

85. Une formation
Procédure
L'ajout des groupes
de passerelle qui
incluent les
nouvelles
interfaces.
Ajout de règles de
pare-feu pour
chacun des
nouveaux groupes
de passerelle.

86. Une formation
Lab : Multi Wan
Impossible d’afficher l’image.

87. Merci

88. Introduction aux packages
avec PfSense
Une formation
Hamza KONDAH

89. Une formation
Introduction
Modules ou packages
complémentaires
Amélioration de l’efficacité de PfSense
Possibilité de le rendre aussi efficace
qu’un UTM
Multifonctions !

90. Merci

91. Snort
Une formation
Hamza KONDAH

92. Une formation
Les IDS
Snort
Lab : Le package Snort
Plan

93. Une formation
Les IDS
Impossible d’afficher l’image.

94. Une formation
Snort
C’est un système de détection d'intrusion
réseau (ou NIDS)
Open Source
C’est un des plus actifs NIDS Open Source et
possède une communauté importante
contribuant à son succès

95. Une formation
Lab : Le package Snort

96. Merci

97. Squid/SquidGuard
Une formation
Hamza KONDAH

98. Une formation
Les Proxys
Squid
SquidGuard
Lab : Squid/SquidGuard
Plan

99. Une formation
Les Proxys

100. Une formation
Squid
Un serveur Proxy et Reverse Proxy
Il gère les protocoles FTP, HTTP, Gopher,
et HTTPS
Il gère toutes les requêtes en un seul
processus d'entrée/sortie asynchrone
OpenSource

101. Une formation
SquidGuard
Orienté Web
Filtrage URL
BlackList
Combinaison avec Squid

102. Une formation
Lab : Squid/SquidGuard

103. Merci

104. pfBlockerNg
Une formation
Hamza KONDAH

105. Une formation
Introduction
Architecture
Lab : pfBlockerNg
Plan

106. Une formation
Introduction
Paquet très puissant
Permet d’étendre les fonctionnalités
Dépasse le filtrage traditionnel
(L2/L3/L4)
Filtrage avancé

107. Une formation
Introduction
Filtrage basé sur :
Géolocalisation
Domaine
source
Alexa Etc …

108. Une formation
Architecture
Internet
pfSense
Printer
Laptop
Pc
Tablet
Pc

109. Une formation
Lab : pfBlockerNg

110. Merci

111. NtopNG
Une formation
Hamza KONDAH

112. Une formation
Introduction
Lab : NtopNG
Plan

113. Une formation
Introduction
Supervision des réseaux
Visualisation de l’état des nœuds en
temps réel
Très beaux graphs 
Interface Web

114. Une formation
Lab : NtopNG

115. Merci

116. Suricata
Une formation
Hamza KONDAH

117. Une formation
Introduction
Suricata
Lab : Suricata
Plan

118. Une formation
Introduction

119. Une formation
Suricata
Parmi les IPS les plus performants
Très puissant
Open Source
Modulable
Protection Efficace
PS : Le positionnement est important !

120. Une formation
Lab : Suricata

121. Merci

122. Squid/SquidGuard
Partie 2
Une formation
Hamza KONDAH

123. Une formation
Lab : Squid/SquidGuard

124. Merci

125. Monitoring et Logging
Une formation
Hamza KONDAH

126. Une formation
Monitoring et Logging
Les Logs représentent une mine d’or
La supervision et la transformation des logs
en informations décisionnelles est plus que
primordiale
Troubleshooting mais aussi analyse des
menaces

127. Une formation
Monitoring et Logging
Logs
Solutions SIEM
Solutions de gestion et corrélation de
logs
Analyse des états du FW

128. Merci

129. Troubleshooting
Une formation
Hamza KONDAH

130. Une formation
Procédure Troubleshooting
Identification du
problème
Formulation
théorique de la cause
du problème
Test théorique
Mise en place du
plan
Implémentation
d’une solution
Vérification
Documentation

131. Merci

132. Test de règles de sécurité
Une formation
Hamza KONDAH

133. Une formation
NMAP
TCPDUMP/WIRESHARK
Lab : Test de règles
Plan

134. Une formation
NMAP
Scanner de sécurité
La référence ABSOLUE !
Complet pour le scan mais aussi les
tests de sécurité
NSE : Langage de Scripting !

135. Une formation
TCPDUMP
Débogage réseau
Analyse de trafic
Ligne de commande
Graphique  Wireshark
Analyse et développement de
protocoles

136. Une formation
TCPDUMP
Débogage réseau
Analyse de trafic
Ligne de commande
Graphique  Wireshark
Analyse et développement de
protocoles

137. Une formation
Lab : Test de règles

138. Merci

139. Stress Testing
Une formation
Hamza KONDAH

140. Une formation
Introduction
Lab : Stress Testing
Plan

141. Une formation
Introduction

142. Une formation
Lab : Stress Testing

143. Merci

144. Conclusion et Perspectives
Une formation
Hamza KONDAH

145. Une formation
Bilan
Introduction
Les VPNs
La Haute Disponibilité
La redondance
Routing et Bridging

146. Une formation
Bilan
Packages
Troubleshooting et test de sécurité
Benchmarking
Conclusion

147. Une formation
Bibliographie

148. Une formation
Prochainement

149. Merci